Trojan.W32.KillProc.i

BerndM · 19.12.2004, 15:11

Hallo allerseits,

habe heute mit GData Antivirenkit 2004 (neueste Signaturen) einen Scan gemacht. Es kam folgende Meldung:

Objekt: KILLAPPS.EXE in Pfad C:\windows\system32
Virus: Trojan.Win32.KillProc.i

Ich habe die Datei gelöscht und dann nochmal gescannt, ohne Befund. Im Hijackthis-Logfile habe ich auch nichts gefunden:

Logfile of HijackThis v1.99.0
Scan saved at 15:09:22, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102788400453
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DC8FB62-4B0D-44AB-8D4D-DA3ED5640501}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

Trotzdem ist mir irgendwie mulmig, ob nicht doch noch irgendwas auf dem Rechner drauf ist. Mit Google habe ich zu dem Trojaner nichts genaues gefunden, nur zu früheren Varianten. Deshalb meine Fragen:

Kennt jemand diese killapps.exe?
Was soll ich noch machen, um sicherzugehen, dass nicht noch irgendwelche Trojaner oder so zurückgeblieben sind? Außer neu installieren. Das ist mir schon klar, dass das am sichersten wäre. Aber wenn die Sache mit dem Löschen der Datei gegessen ist, wäre es mir doch zu viel Aufwand.

Vielen Dank schon mal!

19.12.2004, 15:44

Das Log ist sauber.

Hab mal kurz bei google.de geschaut; Infos hab ich auch keine gefunden.

BerndM · 19.12.2004, 17:58

Danke für die Antwort. Bei netstat habe ich auch nichts verdächtiges gesehen. Ich glaube, ich lasse die Sache erstmal auf sich beruhen.

dgabriel · 21.12.2004, 20:30

Hallo,
habe das Problem auch seit heute, bei mir hat ein Scan des gesamten Systems mit "G-Data AVK" den Trojaner auch in einem Creativ-Soundblaster-Treiber gefunden, dort gibt es tatsächlich eine Datei "Killapps.exe", die er anmeckert. Siehe auch hier:
http://www.winboard.org/index.php?showtopic=25206

Gruß

hutzelmann · 22.12.2004, 19:18

Jo. Also hats sich was neues ergeben. Nachdem mein Sys laut gestriger Überprüfung durch G Data AntiVirenKit 2005 clean gewesen sein soll, habe ich heute morgen alle meine Platten defragmentieren lassen.

Dabei kam es zu 2 Warnmeldungen, dass 2 Dateien im VolumeInformation System einer Partition mit besagtem Trojan.W32.KillProc.i infiziert sein sollen.

Habe sie daraufhin mal in Quarantäne geschoben und via G Data desinfizieren lassen - was laut Programm auch gelungen ist.

Ach ja..die Win-Installation war grade mal ne Woche alt mit SP2 und neuesten Updates aus diesem Monat.

//Edit:

Hab noch bißchen weiter probiert und geforscht: Mit anderen AntiVirenProgs(NortonAntiVirus2005 und AntiVir - Personal) wird keine Trojaner Datei angezeigt! Das ganze Problem scheint mir irgendwie von der KAV-Engine abzuhängen.
Wenn die sich nur mal bei mir melden würden von G Data. Aber so kurz vor Weihnachten...

Firecat · 29.12.2004, 02:17

Also ich hab heute einen Scan mit eScan gemacht und dabei diese Killapps.exe und Kill.ini gefunden.Dann mal gegoogelt und zwei drei sachen gefunden.Nur was soll man jetzt glauben das es so wie hier beschrieben http://www.soundcard-drivers.com/drivers/58/58954.htm ein treiber von Creative labs ist oder wie hier beschrieben http://www.f-secure.com/v-descs/killapp.shtml ein Troijaner Trojan.Win32.KillApp.c.
Bis jetzt hat er noch keinen schaden angerichtet wenns ein troijaner ist aber wer weis?

29.12.2004, 03:13

Schick die Datei zur Überprüfung an partytime-germany.ice@web.de

Firecat · 29.12.2004, 13:42

Also ich hab jetzt mal meine Install CD durchforstet und auf der Original CD von Creativ Labs befindet sich die Killapps.exe ebenfalls.Die Instaliert mir einen treiber von Creativ.Es ist also bei mir definitiv kein Troijaner.Nur escan hat jetzt mit der neusten Signatur Updates warscheinlich diese exe als Troijaner fälschlich erkannt.Sollte man mal bei mwti.net bescheid sagen das die das problem mal checken.

Die Killapps.exe einfach im C:windows\system32\ Ordner löschen da passiert gar nichts weil der treiber ja schon instaliert ist.Wen es beruihgt der kann die ja löschen

29.12.2004, 21:49

Hmm ... wenn du mir die Datei nicht schicken willst, dann schicke sie an deutsch@support.kaspersky.com und sag bescheid, dass du vermutest, dass es ein Fehlalarm ist.

Sag bescheid, was rausgekommen ist.

hutzelmann · 30.12.2004, 09:33

Also ich hab die Datei schon vor 10 Tagen an G Data geschickt und bis heute keine Antwort bekommen.

Wenn man dann noch eine E-Mail an hotline@g-data.de schickt, bekommt man keinesfalls rasch Hilfe. Nein, man bekommt eine automatisch generierte E-Mail mit dem Verweis auf die FAQ's und nem Link zu nem Web-Formular, wo man erstmal Kundennummer und Produktkey eingiben muss und das ganze Textlein nochmal, dass man mühsam in der E-Mail verfasst hat. Gut, STRG-C und STRG-V lösen das Problem, aber ich finds einen riesen Aufwand.

Bin mal gespannt, wie lang es diesmal dauert bis was kommt.

30.12.2004, 23:48

G-Data schickt die Dateien auch nur weiter, weil G-Data keine eigenen Signaturen hat.

Checke die Datei mal hier: http://virusscan.jotti.org/de

19.12.2004, 15:44	#2
Christian Gast	Trojan.W32.KillProc.i Das Log ist sauber. Hab mal kurz bei google.de geschaut; Infos hab ich auch keine gefunden. __________________

29.12.2004, 03:13	#7
Christian Gast	Trojan.W32.KillProc.i Schick die Datei zur Überprüfung an partytime-germany.ice@web.de

29.12.2004, 21:49	#9
Christian Gast	Trojan.W32.KillProc.i Hmm ... wenn du mir die Datei nicht schicken willst, dann schicke sie an deutsch@support.kaspersky.com und sag bescheid, dass du vermutest, dass es ein Fehlalarm ist. Sag bescheid, was rausgekommen ist.

30.12.2004, 23:48	#11
Christian Gast	Trojan.W32.KillProc.i G-Data schickt die Dateien auch nur weiter, weil G-Data keine eigenen Signaturen hat. Checke die Datei mal hier: http://virusscan.jotti.org/de

Trojan.W32.KillProc.i

Plagegeister aller Art und deren Bekämpfung: Trojan.W32.KillProc.i